• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

teckV

Sistemas de Gestão Logs

1 mensagem neste tópico

das coisas mais importantes nos sitemas informáticos é o acompanhamento e correlação de logs... há muitos sistems de logs diferentes... logs de kernelde aplicaçõesde segurançaetc.... tornou-se muito dificil manualmente andar a ver os logs todoster de saber ao pormenor o que querem dizer todas as mesagens e códigos.. tendo em conta isto surgirão varios produtos que nos fornece esse serviço... alimentam-se de logs de varios serviços e equipamentos e reunem e analisam tudo numa consola centralizadanormalmente num interface web... fornecem uma forma de armazenamento e gestão de logs centralizada... isto é mesmo muito bom...

para que sevem os logs senão se conseguir perceber exactamente tudo o que lá está?? e como saber exactamente o que aconteceu se os vários sistemas de logs não comunicam entre si???

vou apresentar alguns sistemas de correlação e gestão centralizada de logs... há mais que podem investigar mas eu saliento estes... como sempre o objectivo dos mesus posts não é apenas falar dos produtos mas principalmente dos conceitos associados...

documentos PDF sobre o assunto:

NIST SP 800-53 Recommendations Related to Log Management

Log Correlation for Intrusion Detection: A Proof of Concept

Art of Log correlation

Microsoft The Security Monitoring and Attack Detection Planning Guide

Security Event Correlation

Um produto muito bom da comunidade Open-Source

logo-hdr.png

OSSIM (Open Source Security Information Management)

What is OSSIM?

OSSIM is a distribution of open source products that are integrated to provide

an infrastructure for security monitoring.

Its objective is to provide a framework for centralizingorganizingand

improving detection and display for monitoring security events within the

organization.

Our system

will include the following monitoring tools:

  Control panel for high-level display

  Risk and activity monitors for mid-level monitoring

  Forensic console and network monitors at the low level

These tools utilize new capabilities developed in SIM post-processingwhose

objective is to improve detection reliability and sensitivity:

  Correlation

  Prioritization

  Risk assessment

Post-processing in turn makes use of the preprocessorsa number of detectors

and monitors already known to most of the administrators that will be included

in our distribution

  IDS (pattern detectors)

  Anomaly detectors

  Firewalls

  Various monitors

Finallywe need an administrative tool that configures and organizes the

various modulesboth external and nativethat comprise OSSIM. That tool is the

frameworkwhich allows us to inventory assetsto define: the topologya

security policycorrelation rulesand to link up the various integrated tools.

http://www.ossim.net/whatis.php#h2:whatis

Outro...

width=120 height=84http://manageengine.adventnet.com/products/eventlog/images/architecture.jpg[/img]

width=120 height=27http://manageengine.adventnet.com/products/eventlog/images/elalogo.gif[/img]

SysLog & Event Log ManagementAnalysis & Reporting

ManageEngine EventLog Analyzer is a web-basedagent-less syslog and event log management solution that collectsarchivesand reports on event logs from distributed Windows host andsyslogs from UNIX hostsRouters and Switches. It helps organizations meet host-based security event management (SEM) objectives and adhere to demands of regulatory compliance requirements likes HIPAASOXand GLBA .

http://manageengine.adventnet.com/products/eventlog/index.html

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora